CVE-2019-1649 is een ernstige kwetsbaarheid in Cisco-producten. Ook de bijnaam Thrangrycat, de exploit kan leiden aanvallers aanhoudende achterdeur te implanteren op een breed scala van apparaten in het bedrijfsleven en de overheid netwerken. Apparaten kunnen zijn routers, schakelaars, en firewalls die Trust Anchor module ondersteunen.
CVE-2019-1649 (Thrangrycat Exploit) Technische Details
Volgens Rode Ballon Beveiliging, de onderzoekers die de fout ontdekt, Er zijn twee kwetsbaarheden in de inrichtingen die zijn genoemd Thrangrycat benutten. Het eerste lek kan een aanvaller volledig omzeilen Trust Anchor module Cisco's (TAm) via Field Programmable Gate Array (FPGA) bitstream manipulatie. De tweede fout is een opdracht injectie kwetsbaarheid die kan worden gebruikt tegen Cisco IOS XE versie 16 waarmee externe code als root:
Door het koppelen van de exploit op afstand commando injectie kwetsbaarheden, kan een aanvaller op afstand en aanhoudend bypass beveiligde boot mechanisme van Cisco en vergrendel alle toekomstige software-updates voor de TAm, het adviesorgaan zei.
Wat is Cisco's Trust Anchor Module
Het is een eigen hardware beveiligingsmodule die is geïmplementeerd in bijna alle enterprise apparaten Cisco sinds 2013. De module zorgt ervoor dat de firmware die wordt uitgevoerd op hardware platforms is authentiek en is niet gewijzigd.
Helaas, de Rode Ballon Beveiliging onderzoekers kwamen tussen verschillende hardware ontwerpfouten in genoemde apparaten die niet-geverifieerde bedreiging actoren in staat kan stellen om hardnekkige wijzigingen aan te brengen aan de Trust Anchor module met behulp van FPGA bitstream modificatie:
Een aanvaller root gestart op het apparaat kan de inhoud van de FPGA anker bitstroom wijzigen, die onbeschermd opgeslagen in het flashgeheugen. Onderdelen van deze bitstroom kan worden aangepast om kritische functionaliteit in de TAm uitschakelen. Succesvolle wijziging van de bitstream persistent, en vertrouwensanker uitgeschakeld bij volgende laars sequenties. Het is ook mogelijk om uit te sluiten alle software updates voor bitstream de Tam.
Terwijl de gebreken zijn gevestigd in hardware, ze kunnen op afstand worden misbruikt, zonder enige noodzaak voor fysieke toegang. Omdat de gebreken en verblijf op het hardware-ontwerp, Het is onwaarschijnlijk dat een software security patch volledig de fundamentele veiligheidslek zal oplossen, aldus de onderzoekers. De exploit lijkt niet te zijn in het wild misbruik, en merkt op dat het potentiële gevaar is ernstig.
De onderzoekers aangetoond dat de kwetsbaarheden op een Cisco ASR 1001-X router, maar ze geloven dat de exploit effecten een aantal andere systemen die ook over TAm implementaties. Aangezien er miljoenen van Cisco eenheden runnen van FPGA-gebaseerde TAm over de hele wereld, het bereik van de betrokken inrichtingen ondenkbaar.
Het team privé gemeld hun bevindingen met betrekking tot CVE-2019-1649 Cisco in november vorig jaar. Details over hun bevindingen werden gedeeltelijk openbaar gemaakt nadat het bedrijf firmware pleisters uitgegeven het aanpakken van de ernstige gebreken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: